ERP 系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制的探討

■吳佳輝 中國石油天然氣股份有限公司廣西銷售分公司

隨著國民經(jīng)濟(jì)形勢的變化，國內(nèi)企業(yè)面臨愈發(fā)激烈的市場競爭，企業(yè)內(nèi)部控制是提升企業(yè)競爭實力的重要手段，也是推進(jìn)企業(yè)現(xiàn)代化發(fā)展的重要途徑，內(nèi)部控制活動可以有效提升企業(yè)生產(chǎn)經(jīng)營效益，提升企業(yè)控制、決策和管理的科學(xué)性。ERP（Enterprise Resource Planning，企業(yè)資源計劃）系統(tǒng)的普及應(yīng)用為企業(yè)開展高效的內(nèi)部控制提供了關(guān)鍵支撐，但在ERP 系統(tǒng)引進(jìn)及運行的過程中，部分企業(yè)也面臨諸多挑戰(zhàn)。對此，如何推進(jìn)ERP 系統(tǒng)建設(shè)和運行，進(jìn)而為企業(yè)內(nèi)部控制提供良好的環(huán)境與保障，以此提升企業(yè)內(nèi)部控制水平，成為推動企業(yè)現(xiàn)代化轉(zhuǎn)型、推進(jìn)企業(yè)良性發(fā)展的必經(jīng)之路。

一、ERP 系統(tǒng)與內(nèi)部控制的內(nèi)在邏輯

ERP 系統(tǒng)是企業(yè)落實內(nèi)部控制措施、開展內(nèi)部控制活動的重要工具，在ERP 系統(tǒng)的幫助下，企業(yè)領(lǐng)導(dǎo)者、管理層可以全面、及時地獲取各類信息，結(jié)合信息分析結(jié)果做出科學(xué)決策，開展內(nèi)部控制活動。同時，內(nèi)部控制為企業(yè)ERP 系統(tǒng)建設(shè)提供方向，企業(yè)引進(jìn)、應(yīng)用ERP 系統(tǒng)需要以內(nèi)部控制需求為導(dǎo)向，ERP 系統(tǒng)需要能夠滿足企業(yè)內(nèi)部控制的具體需求，如對流程控制、信息處理的需求等，因此，在企業(yè)ERP 系統(tǒng)建設(shè)期間，內(nèi)部控制需求為系統(tǒng)建設(shè)提供正確方向，確保ERP 系統(tǒng)可以真正為企業(yè)的持續(xù)發(fā)展服務(wù)。不難發(fā)現(xiàn)，ERP 系統(tǒng)與企業(yè)內(nèi)部控制處于密切關(guān)聯(lián)、相互促進(jìn)的狀態(tài)，在ERP 系統(tǒng)環(huán)境下推進(jìn)企業(yè)內(nèi)部控制工作開展可以有效提升內(nèi)部控制效果，為企業(yè)發(fā)展提供關(guān)鍵支撐。

二、ERP 系統(tǒng)對企業(yè)內(nèi)部控制的重要影響

ERP 系統(tǒng)對內(nèi)部控制的影響主要體現(xiàn)在控制環(huán)境、控制活動、風(fēng)險評估、信息溝通四個方面，本文對其進(jìn)行逐一分析。

1.優(yōu)化控制環(huán)境

控制環(huán)境主要指對于內(nèi)部控制效果產(chǎn)生影響的各類因素，良好的控制環(huán)境是內(nèi)部控制得以順利開展的重要前提，也關(guān)系企業(yè)能否實現(xiàn)內(nèi)部控制目標(biāo)。在ERP 系統(tǒng)環(huán)境下，企業(yè)內(nèi)部控制環(huán)境中的部分影響因素發(fā)生變動，對于內(nèi)部控制效果具有直接影響。一是企業(yè)組織結(jié)構(gòu)變動，ERP 系統(tǒng)使企業(yè)組織結(jié)構(gòu)趨于扁平化，有效減少內(nèi)部控制層次和信息傳輸層次，使信息可以在更短的時間內(nèi)實現(xiàn)上下級之間的傳遞，提升信息傳遞效率和真實性。二是權(quán)責(zé)分配進(jìn)一步細(xì)化，ERP 系統(tǒng)使企業(yè)內(nèi)部的權(quán)責(zé)機(jī)制更加明確，每個崗位、每個模塊的操作都有特定的權(quán)限，特定的操作只能由特定的員工或特定的崗位完成，這就將權(quán)責(zé)進(jìn)一步落實到具體崗位，有效避免責(zé)任推諉。三是提升了領(lǐng)導(dǎo)層、管理層對內(nèi)部控制的參與程度，有效發(fā)揮內(nèi)部監(jiān)督的作用，在ERP 系統(tǒng)的幫助下，領(lǐng)導(dǎo)層和管理層可以全面、迅速地獲取企業(yè)內(nèi)部信息，并根據(jù)相應(yīng)情況開展管理、監(jiān)督。四是實現(xiàn)內(nèi)部控制的全程開展，促進(jìn)企業(yè)內(nèi)部控制由單純的事后控制轉(zhuǎn)為事前預(yù)測、事中監(jiān)督和事后控制全程開展。

2.提升控制活動質(zhì)量

控制活動是企業(yè)各級管理人員為了執(zhí)行管理指令、實現(xiàn)企業(yè)發(fā)展目標(biāo)而采取的措施和行為，控制活動具有全面性特點，涉及企業(yè)各部門、各崗位，而且企業(yè)生產(chǎn)經(jīng)營、管理決策的各個環(huán)節(jié)均涉及控制活動，如授權(quán)、審批、檢查、監(jiān)督等。ERP 系統(tǒng)為企業(yè)提供了更加靈活多樣的控制手段，確保控制活動能夠有序開展，提升控制活動的效果。例如，通過系統(tǒng)權(quán)限控制、系統(tǒng)程序控制等手段提升控制質(zhì)量，或者通過信息系統(tǒng)控制提升業(yè)務(wù)處理效率，降低業(yè)務(wù)處理成本，減少業(yè)務(wù)處理出錯的可能。相較于傳統(tǒng)的人工控制，在ERP 系統(tǒng)輔助下的內(nèi)部控制提升了控制效率和控制的智能化水平，而且使內(nèi)部控制體系具備預(yù)防、修正等功能。例如，推動ERP系統(tǒng)在財務(wù)控制中的應(yīng)用可以實現(xiàn)財務(wù)數(shù)據(jù)的追溯，而且各環(huán)節(jié)的財務(wù)操作都會產(chǎn)生數(shù)據(jù)痕跡，可以清晰展示財務(wù)工作流程，一旦出現(xiàn)問題，可以及時溯源，有效避免財務(wù)舞弊。

需要注意的是，ERP 系統(tǒng)的應(yīng)用也對企業(yè)內(nèi)部控制活動形成了新的挑戰(zhàn)。例如，企業(yè)各項數(shù)據(jù)可能遭到竊取，導(dǎo)致企業(yè)信息泄露，使企業(yè)面臨信息安全風(fēng)險，甚至部分不法分子通過網(wǎng)絡(luò)途徑入侵企業(yè)ERP 系統(tǒng)，修改、銷毀企業(yè)數(shù)據(jù)，給企業(yè)帶來一定損失。

3.強化風(fēng)險評估

風(fēng)險評估對于企業(yè)發(fā)展具有重要意義，風(fēng)險評估分為事前評估和事后評估，事前評估主要是評估風(fēng)險等級以及可能造成的危害，而事后評估則是對已發(fā)生的風(fēng)險事件進(jìn)行評估，評估重點在于風(fēng)險事件給企業(yè)造成的損失。風(fēng)險評估具體分為識別、分析、預(yù)防和管理四個環(huán)節(jié)。

在ERP 系統(tǒng)環(huán)境下，企業(yè)的風(fēng)險評估手段、風(fēng)險評估理念均發(fā)生相應(yīng)變化，從風(fēng)險評估理念的角度來看，風(fēng)險評估更加注重流程上的全程性，以及評估對象的全面性，可以對企業(yè)各部門、各崗位、各流程以及各環(huán)節(jié)可能發(fā)生的風(fēng)險進(jìn)行預(yù)防評估，有效降低風(fēng)險因素給企業(yè)帶來的損失。同時，ERP 系統(tǒng)可以使風(fēng)險評估的權(quán)責(zé)具體落實到人，由于系統(tǒng)本身具備嚴(yán)格的授權(quán)操作機(jī)制，故而風(fēng)險評估的責(zé)任更加明確、更加細(xì)化。但是ERP 系統(tǒng)也給企業(yè)帶來了新的風(fēng)險點，如系統(tǒng)應(yīng)用風(fēng)險、數(shù)據(jù)安全風(fēng)險等，這些都是需要企業(yè)加以重視的。

4.提升信息溝通水平

企業(yè)內(nèi)部控制依托信息溝通、信息共享而實現(xiàn)，如果企業(yè)內(nèi)部信息溝通不到位，就容易導(dǎo)致企業(yè)領(lǐng)導(dǎo)者、管理層無法獲取真實、全面的信息，更無法根據(jù)信息開展管理控制活動，自然影響企業(yè)內(nèi)部控制效果。與之相應(yīng)的是，ERP 系統(tǒng)可以提升企業(yè)信息溝通的全面性，一方面是由于ERP 系統(tǒng)推動企業(yè)組織架構(gòu)扁平化，減少信息傳遞環(huán)節(jié)，從而確保信息的時效性；另一方面則是ERP 系統(tǒng)環(huán)境可以提升各部門系統(tǒng)的兼容性，實現(xiàn)企業(yè)數(shù)據(jù)信息在各部門之間流通共享，從而提升信息溝通效率。ERP系統(tǒng)可以使企業(yè)內(nèi)部控制由順序控制轉(zhuǎn)向并行控制，實現(xiàn)不同控制活動協(xié)同開展，有效提升控制效率，而且ERP系統(tǒng)的開放性特點也為企業(yè)內(nèi)部各部門之間的溝通提供多樣化渠道，企業(yè)員工能夠及時了解自身職責(zé)，并借助ERP系統(tǒng)切實履責(zé)，管理層能夠通過ERP 系統(tǒng)開展各類管理控制工作，領(lǐng)導(dǎo)層則可以根據(jù)ERP 系統(tǒng)提供的數(shù)據(jù)做出科學(xué)決策。因此，ERP 系統(tǒng)有效提升企業(yè)內(nèi)部信息溝通水平，確保各級員工能夠做到各司其職，共同促進(jìn)企業(yè)的經(jīng)營發(fā)展。

三、ERP 系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制問題

通過前文分析不難發(fā)現(xiàn)，ERP 系統(tǒng)對于提升企業(yè)內(nèi)部控制水平具有重要作用，雖然給企業(yè)內(nèi)部控制帶來一些新的風(fēng)險點，但總體而言，ERP 系統(tǒng)可以為企業(yè)開展內(nèi)部控制提供重要支撐，但現(xiàn)階段部分企業(yè)在ERP 系統(tǒng)建設(shè)期間存在一些問題，導(dǎo)致ERP 系統(tǒng)環(huán)境未能滿足企業(yè)內(nèi)部控制需求，對此，本文在接下來的論述中針對ERP系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制存在的問題展開探討。

1.內(nèi)控意識和ERP 系統(tǒng)認(rèn)識不足

ERP 系統(tǒng)可以為企業(yè)內(nèi)部控制提供重要助力，但ERP 系統(tǒng)的本質(zhì)是內(nèi)部控制的工具，而工具能否發(fā)揮其應(yīng)有作用，關(guān)鍵在于企業(yè)內(nèi)部員工，尤其是企業(yè)領(lǐng)導(dǎo)者是否具備內(nèi)部控制意識，以及是否為提升內(nèi)部控制水平而制訂了相應(yīng)的計劃?，F(xiàn)階段，部分企業(yè)內(nèi)部的領(lǐng)導(dǎo)層、管理層對于內(nèi)部控制認(rèn)識不足，未能對內(nèi)部控制活動及內(nèi)控體系建設(shè)予以足夠重視，企業(yè)也并未對內(nèi)控體系建設(shè)、ERP系統(tǒng)建設(shè)投入相應(yīng)資源，導(dǎo)致ERP 系統(tǒng)無法發(fā)揮其應(yīng)有作用。同時，部分基層員工對于ERP 系統(tǒng)建設(shè)缺乏足夠的積極性，未能主動支持配合ERP 建設(shè)，其原因在于企業(yè)內(nèi)部有關(guān)于ERP 系統(tǒng)的宣傳不足，基層員工缺乏全局意識，未能意識到ERP 系統(tǒng)、內(nèi)部控制與自身工作的重要關(guān)系。

2.ERP 系統(tǒng)與企業(yè)內(nèi)控需求不符

前文提及，ERP 系統(tǒng)建設(shè)應(yīng)當(dāng)以企業(yè)內(nèi)部控制需求為導(dǎo)向，但在部分企業(yè)中，企業(yè)的ERP 系統(tǒng)與企業(yè)業(yè)務(wù)發(fā)展不匹配，未能滿足企業(yè)內(nèi)部控制需求。在ERP 系統(tǒng)實際運行期間，這類企業(yè)的ERP 系統(tǒng)無法適應(yīng)業(yè)務(wù)活動，甚至導(dǎo)致企業(yè)面臨一定的風(fēng)險。同時，ERP 系統(tǒng)的運行應(yīng)當(dāng)與企業(yè)內(nèi)部控制的流程、節(jié)點相一致，才能實現(xiàn)兩者的融合，但上述企業(yè)的ERP 系統(tǒng)未能契合內(nèi)部控制的流程、節(jié)點，導(dǎo)致系統(tǒng)與內(nèi)部控制存在較為明顯的脫節(jié)，不僅影響內(nèi)部控制效果，而且會浪費企業(yè)資源，降低內(nèi)部控制水平。此外，部分企業(yè)的信息技術(shù)實力不足，未能對ERP系統(tǒng)進(jìn)行定期的檢修維護(hù)，導(dǎo)致ERP 系統(tǒng)功能不全，這也是影響企業(yè)內(nèi)部控制以及ERP 系統(tǒng)應(yīng)用的重要因素。

3.內(nèi)部控制制度未能及時更新

ERP 系統(tǒng)的應(yīng)用必然導(dǎo)致企業(yè)崗位及相應(yīng)職責(zé)發(fā)生變動，相關(guān)的內(nèi)部控制制度也應(yīng)當(dāng)及時更新、完善，但現(xiàn)階段部分企業(yè)的內(nèi)控制度并未及時更新，導(dǎo)致老制度與新系統(tǒng)不相匹配，不但阻礙ERP 系統(tǒng)發(fā)揮其應(yīng)有價值，而且導(dǎo)致內(nèi)部控制活動無法順利開展，因此，如何推進(jìn)制度內(nèi)容與權(quán)責(zé)機(jī)制的完善也成為ERP 環(huán)境下內(nèi)部控制必須關(guān)注的重點。

4.相關(guān)人員的綜合水平不足

在ERP 系統(tǒng)環(huán)境下，企業(yè)員工應(yīng)用ERP 系統(tǒng)開展各種操作，這就使企業(yè)員工的綜合水平直接影響ERP 系統(tǒng)能否發(fā)揮作用，以及能否提升內(nèi)部控制效果。例如，在開展財務(wù)內(nèi)部控制工作時，財務(wù)人員需要利用ERP 系統(tǒng)進(jìn)行操作，如果財務(wù)人員對ERP 系統(tǒng)不熟悉，或者缺乏相應(yīng)的信息素養(yǎng)，將可能導(dǎo)致財務(wù)人員出現(xiàn)操作失誤的情況，影響財務(wù)內(nèi)部控制效果。諸如上述情況，在生產(chǎn)、人力、后勤等部門均有可能發(fā)生，因此，企業(yè)員工的綜合水平不足成為影響ERP 系統(tǒng)應(yīng)用與內(nèi)部控制的障礙性因素。

5.網(wǎng)絡(luò)安全風(fēng)險問題

結(jié)合前文內(nèi)容，ERP 系統(tǒng)在給企業(yè)內(nèi)部控制提供便利的同時，也導(dǎo)致企業(yè)內(nèi)部控制容易出現(xiàn)網(wǎng)絡(luò)安全隱患，出現(xiàn)信息泄露、信息丟失的情況。網(wǎng)絡(luò)安全風(fēng)險主要體現(xiàn)在以下三方面：一是部分員工操作不當(dāng)，導(dǎo)致數(shù)據(jù)丟失、數(shù)據(jù)損毀，甚至核心數(shù)據(jù)出現(xiàn)問題，給企業(yè)的生產(chǎn)經(jīng)營和決策管理造成障礙。二是企業(yè)容易遭受網(wǎng)絡(luò)攻擊，出現(xiàn)數(shù)據(jù)被竊取或者遭到修改的情況，也容易給企業(yè)發(fā)展造成隱患。三是ERP 系統(tǒng)本身出現(xiàn)漏洞，將有可能導(dǎo)致整個ERP 系統(tǒng)在短時間內(nèi)陷入癱瘓，必然影響內(nèi)部控制的開展。

四、ERP 系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制提升策略

1.轉(zhuǎn)變內(nèi)部控制理念，推動ERP 系統(tǒng)有序建設(shè)

為了推進(jìn)ERP 系統(tǒng)建設(shè)，提升內(nèi)部控制效果，企業(yè)需要從上至下重視ERP 系統(tǒng)的應(yīng)用，全面認(rèn)識ERP 系統(tǒng)，對其應(yīng)用價值形成全面認(rèn)知，而且樹立內(nèi)部控制意識。具體而言，領(lǐng)導(dǎo)層應(yīng)當(dāng)予以高度重視，而后帶動企業(yè)內(nèi)部管理層開展內(nèi)部控制活動，將內(nèi)部控制作為企業(yè)基礎(chǔ)活動對待，并按照企業(yè)的發(fā)展目標(biāo)、戰(zhàn)略目標(biāo)對內(nèi)部控制進(jìn)行規(guī)劃，進(jìn)而使基層員工對內(nèi)部控制足夠重視。企業(yè)應(yīng)當(dāng)對ERP 系統(tǒng)建設(shè)投入相應(yīng)資源，為提升內(nèi)部控制水平提供關(guān)鍵支撐。同時，企業(yè)需要做好內(nèi)部宣傳工作，尤其是結(jié)合內(nèi)部控制成功案例、ERP 系統(tǒng)建設(shè)案例使基層員工意識到ERP 系統(tǒng)的重要作用，并在未來的工作中積極配合ERP 系統(tǒng)建設(shè)，樹立全局意識，將自身工作與內(nèi)部控制、ERP 建設(shè)緊密結(jié)合。

2.關(guān)注企業(yè)內(nèi)部控制需求，堅持以需求為導(dǎo)向建設(shè)ERP 系統(tǒng)

ERP 系統(tǒng)建設(shè)的根本目的在于滿足企業(yè)內(nèi)部控制需求，繼而促進(jìn)企業(yè)可持續(xù)發(fā)展，因此，在ERP 系統(tǒng)建設(shè)之前，企業(yè)需要明確自身的內(nèi)部控制需求，明確ERP 系統(tǒng)建設(shè)重點，而后有的放矢地開展系統(tǒng)建設(shè)，并使系統(tǒng)發(fā)揮其應(yīng)有作用。內(nèi)部控制需求不僅包括企業(yè)戰(zhàn)略對內(nèi)部控制提出的要求，還包括企業(yè)員工對于內(nèi)部控制、ERP系統(tǒng)的期望，因此，企業(yè)方面需要做好內(nèi)部調(diào)研，摸清需求、認(rèn)清條件，才能確保ERP 系統(tǒng)滿足內(nèi)部控制需求。同時，企業(yè)需要關(guān)注自身業(yè)務(wù)發(fā)展情況，根據(jù)核心業(yè)務(wù)、主營業(yè)務(wù)的需要推進(jìn)ERP 系統(tǒng)建設(shè)，不斷提升內(nèi)部控制水平。

3.關(guān)注企業(yè)內(nèi)部變動，完善內(nèi)部控制制度

企業(yè)需要在ERP 系統(tǒng)環(huán)境下推動內(nèi)部控制制度的持續(xù)完善，具體而言，企業(yè)可以從權(quán)責(zé)和內(nèi)容兩方面開展。從權(quán)責(zé)角度來看，企業(yè)需要根據(jù)內(nèi)部控制崗位及權(quán)責(zé)的變動情況明確具體責(zé)任，實現(xiàn)內(nèi)部控制責(zé)任切實落實到具體員工，有效避免出現(xiàn)責(zé)任推諉、權(quán)責(zé)不清的情況。同時，權(quán)責(zé)機(jī)制的完善可以有效激發(fā)企業(yè)員工參與內(nèi)部控制的積極性，使各級人員切實履職，切實投入內(nèi)部控制建設(shè)。從內(nèi)容角度來看，企業(yè)需要在ERP 系統(tǒng)環(huán)境下明確內(nèi)部控制的具體對象、流程和標(biāo)準(zhǔn)，確保內(nèi)部控制人員在工作期間能夠做到有據(jù)可依，為內(nèi)部控制有序開展提供保障。

4.推進(jìn)人員培訓(xùn)，提升企業(yè)員工信息素養(yǎng)

針對相關(guān)人員綜合水平不足的問題，企業(yè)應(yīng)當(dāng)推進(jìn)員工隊伍建設(shè)，凡是與內(nèi)部控制相關(guān)的崗位，都應(yīng)參與統(tǒng)一培訓(xùn)，了解內(nèi)部控制的具體內(nèi)容、具體標(biāo)準(zhǔn)，以及ERP系統(tǒng)的應(yīng)用方式和操作技巧。同時，需要注重提升企業(yè)員工的信息化素養(yǎng)，確保企業(yè)員工可以應(yīng)用信息技術(shù)知識操作ERP 系統(tǒng)，確保ERP 系統(tǒng)有序運行，為內(nèi)部控制開展提供保障。此外，提升員工信息素養(yǎng)可以幫助員工及時發(fā)現(xiàn)ERP 系統(tǒng)運行期間存在的異常情況，并及時上報，排除異常問題，確保ERP 系統(tǒng)穩(wěn)定運行。

5.重視網(wǎng)絡(luò)安全問題，推進(jìn)企業(yè)網(wǎng)絡(luò)安全建設(shè)

根據(jù)前文分析，網(wǎng)絡(luò)安全問題是ERP 系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制不可忽視的重要問題，對此，企業(yè)應(yīng)當(dāng)從以下三方面采取措施：一是結(jié)合上文的員工培訓(xùn)，確保內(nèi)部控制相關(guān)人員能夠有效應(yīng)用ERP 系統(tǒng)開展工作，避免出現(xiàn)工作失誤而給內(nèi)部控制造成障礙。二是強化網(wǎng)絡(luò)安全建設(shè)，尤其是在ERP 系統(tǒng)登錄階段，可以通過動態(tài)驗證、數(shù)據(jù)密鑰等形式形成安全屏障，避免閑雜人員隨意登錄ERP 系統(tǒng)。三是做好ERP 系統(tǒng)的定期檢修與維護(hù)，做好升級更新，確保系統(tǒng)本身性能先進(jìn)、功能齊全，才能為后續(xù)的內(nèi)部控制提供保障。

五、結(jié)語

在現(xiàn)階段的國民經(jīng)濟(jì)形勢下，推進(jìn)ERP 系統(tǒng)建設(shè)并強化內(nèi)部控制是企業(yè)發(fā)展的必然選擇，ERP 系統(tǒng)對于企業(yè)的控制環(huán)境優(yōu)化、風(fēng)險評估、控制活動、信息溝通與監(jiān)督控制具有重要作用，針對ERP 系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制層面存在的問題，企業(yè)應(yīng)當(dāng)做好內(nèi)部教育，使企業(yè)內(nèi)部全體人員樹立內(nèi)部控制意識，結(jié)合自身需求推進(jìn)ERP 系統(tǒng)建設(shè)，做好制度建設(shè)和員工隊伍建設(shè)，并關(guān)注網(wǎng)絡(luò)安全問題，有效規(guī)避網(wǎng)絡(luò)安全風(fēng)險。